Критическая уязвимость в службе Telephony Service угрожает широкому спектру систем Windows

Банк данных угроз безопасности информации (BDU) зарегистрировал новую серьёзную уязвимость в операционных системах Microsoft Windows. Уязвимость с идентификатором BDU:2026-02990, также известная как CVE-2026-25188, затрагивает службу Telephony Service (TAPI) и связана с классической ошибкой переполнения буфера в динамической памяти. По данным бюллетеня, удалённый злоумышленник может использовать эту уязвимость для повышения привилегий в системе, что является критичным вектором атаки.

Детали уязвимости

Уязвимость представляет собой уязвимость кода типа CWE-122. Она позволяет атакующему, имеющему первоначальный доступ к сети, манипулировать структурами данных в уязвимой службе. В результате успешной эксплуатации злоумышленник может получить полный контроль над целевой системой. Оценка по методологии CVSS подтверждает высокую степень опасности: базовая оценка CVSS 3.1 составляет 8.8 баллов из 10. Это указывает на высокий потенциал ущерба для конфиденциальности, целостности и доступности данных.

Особую озабоченность вызывает широта спектра затронутых продуктов. Уязвимость не ограничена устаревшими версиями, а поражает практически все актуальные и многие предыдущие выпуски Windows. В список уязвимого ПО входят как клиентские, так и серверные операционные системы. Например, под угрозой находятся Windows 10 версий 1607, 1809, 21H2 и 22H2, включая сборки для архитектур x86, x64 и ARM64. Также уязвимы Windows 11 версий 23H2, 24H2, 25H2 и даже предрелизная 26H1. Среди серверных платформ в перечне значатся Windows Server 2012 R2, 2016, 2019, 2022 и грядущий Server 2025, включая установки в режиме Server Core.

Такой широкий охват создаёт сложную ситуацию для системных администраторов и служб информационной безопасности. Необходимо проверить и обновить огромный парк устройств, от старых корпоративных рабочих станций до современных серверов и персональных компьютеров с ARM-процессорами. При этом уязвимость позволяет атаковать удалённо, что значительно увеличивает потенциальную поверхность атаки для организаций.

К счастью, по данным бюллетеня, уязвимость уже устранена производителем. Статус уязвимости подтверждён Microsoft. Основным и обязательным способом устранения риска является немедленное применение всех последних обновлений безопасности от корпорации. Пользователям и администраторам строго рекомендуется обратиться к официальному руководству Microsoft по безопасности по ссылке, указанной в бюллетене BDU. Следует установить патчи для соответствующих версий операционных систем, чтобы закрыть брешь в службе Telephony Service.

В настоящее время информация о наличии публичных эксплойтов уточняется. Однако высокая оценка CVSS и детали уязвимости предполагают, что она может привлечь внимание киберпреступных групп. Такие уязвимости, позволяющие повысить привилегии, часто используются в цепочках атак для закрепления в системе (persistence) или доставки вредоносной полезной нагрузки (malicious payload). Например, они могут стать частью сценария атаки программ-вымогателей (ransomware).

Эксперты рекомендуют не ограничиваться только установкой обновлений. В качестве дополнительных мер защиты стоит рассмотреть сегментацию сети, чтобы ограничить доступ к службам, не являющимся критически важными для бизнес-процессов. Кроме того, мониторинг сетевой активности и подозрительных попыток обращения к системным процессам может помочь в своевременном обнаружении инцидента. Важно подчеркнуть, что даже после применения патчей общая гигиена безопасности остаётся ключевым фактором защиты.

Таким образом, уязвимость BDU:2026-02990 служит очередным напоминанием о важности своевременного управления обновлениями в гетерогенных IT-средах. Поскольку угроза затрагивает системы разных поколений и архитектур, организациям необходимо провести тщательную инвентаризацию и обеспечить установку всех доступных исправлений безопасности. Оперативное реагирование на такие бюллетени является базовым элементом защиты от потенциально масштабных кибератак.

Детали уязвимости

Ссылки